El pasado año 2017 ha sido un año para recordar en el ámbito de la ciberseguridad por haber sido portada en muchos diarios con noticias como las nuevas filtraciones de la NSA, el más que conocido WannaCry que afectó a empresas de todo el mundo y el peligroso Petya, que hacía estragos a finales de junio.

Sin embargo, a lo largo de estos 12 meses han sido también noticia en los medios un sinfín de ataques, amenazas y rumores a una menor escala y repercusión mediática.

A continuación, nos gustaría hacer un repaso por aquellas noticias sucedidas a lo largo del 2017 y que han podido quedar en un segundo plano.

ENERO

 

31 enero. Bloqueados en un hotel

Un grupo de cibercriminales fue capaz de arruinar las vacaciones de varios viajeros a finales de enero al bloquear las puertas de las habitaciones.

El ataque, producido en el lujoso hotel Romantik Seehotel Jägerwir de los Alpes austríacos, fue producto de un ransomware contra el sistema central de claves del hotel. El resultado fue la inhabilitación de las tarjetas, el sistema de reservas y el sistema de caja.

Pese a que no se recomienda realizar el pago en caso de ransomware, el hotel no tuvo otra opción más que acceder al rescate con el objetivo de poner fin a la situación y evitar que el ataque afectara a sus huéspedes. A pesar de ello, el precio de rescate fue muy elevado: 1.500€ en bitcoins.

 

FEBRERO

 

15 febrero. Se reconoce el tercer ciberataque a Yahoo

A mediados de febrero veía la luz de nuevo la noticia de que Yahoo! reconocía un tercer ciberataque en el que se habían vuelto a robar información de sus usuarios, todo ello en apenas 6 meses. El método de acceso a las cuentas fue a través de una modificación de las cookies, método que pudo haber estado siendo empleado durante dos años por lo que los ciberatacantes ya habrían obtenido toda aquella información que hubieran querido. Pese a que las cookies fueron invalidadas de inmediato, 32 millones de cuentas ya habían sido afectadas.

27 febrero. Ataque masivo a CloudBeed

El primer ataque masivo del año había llegado: se filtraban los datos personales de usuarios de millones de plataformas existentes en la base de datos de la compañía de servicios web y seguridad CloudFare, incluyendo contraseñas, direcciones IP, cookies, datos y chats privados. Las principales aplicaciones afectadas fueron Uber, Fitbit, Reddit o Medium.

 

MARZO

 

7 marzo. Todo sobre Vault 7

El 7 de marzo era noticia que Wikileaks había comenzado a difundir miles de documentos de un programa encubierto de hacking de la CIA como parte de una serie de entregas llamada Vault 7, el que viene a ser definido como el mayor filtrado de datos de inteligencia de la historia. Al parecer, la CIA perdió el control de su arsenal de hacking en el que se incluía malware, virus, troyanos, sistemas de control remoto y todo tipo de documentación asociada, definiéndose así como el arsenal completo de herramientas de hacking de la CIA.

La primera entrega, llamada Year Zero, estaba compuesta por 8.761 documentos y archivos que procedían de una red aislada y de alta seguridad ubicada en el Centro de Inteligencia Cibernética de la CIA de Langley, en Virginia.

8 marzo. Whatsapp y Telegram hackeadas

A principios de marzo los usuarios de las dos principales aplicaciones de mensajería instantánea del mundo venían sufriendo una vulnerabilidad en sus aplicaciones web que dejaba las puertas abiertas a posibles atacantes los cuales podrían llegar a tener acceso al control de las cuentas de los usuarios así como acceder a todas las conversaciones personales, archivos multimedia y listas de contactos de los mismos dispositivos.

El problema venía a raíz del reciente cifrado extremo a extremo que pretendía mejorar la seguridad y que no consiguió su propósito ya que a través de una imagen con código introducido al ser abierto por el receptor le otorgaba el acceso al atacante, todo ello sin que este lo supiera y pudiera hacer nada al respecto.

En resumen, al cifrar los mensajes por parte del emisor, el sistema de Whatsapp y Telegram no podían ver el contenido y por tanto el malware.

 16 marzo. La cuenta de Twitter de McDonald’s, sufre un hackeo

La cuenta de Twitter de McDonald’s publicó un tweet en el que arremetía contra el reciente presidente de los EEUU, Donald Trump.

Pese a que el tweet estuvo 20 minutos en línea, el mensaje generó una avalancha de reacciones y posicionamientos a favor y en contra con el mensaje de la cadena estadounidense.

A pesar de ello, la multinacional reconoció que el tweet fue fruto de un compromiso de seguridad.

20 marzo. Hackeo de cuentas de Twitter y tweets en turco

Twitter sufrió un compromiso en su seguridad que permitió la pérdida de control de un centenar de cuentas que publicaron mensajes en turco pertenecientes al presidente Recep Tayyip Erdogan. La información compartida, en gran medida, declaraba rechazo a Holanda y Alemania equiparándolas con naciones nazis. Sin embargo, las cuentas afectadas no eran las de cualquiera, entre ellas se encontraban la del ex primer ministro francés Alain Juppé, Amnistía International, la BBC o el Parlamento Europeo. El motivo de este ataque fue fruto de la no aceptación por parte de Alemania y Holanda a la visita de unos funcionarios turcos.

El ataque, que duró poco más de 20 minutos, se produjo a través una vulnerabilidad de la aplicación Twitter Counter.

 

ABRIL

 

7 abril. Saltan las alarmas en Dallas

A las 23:42 horas saltaron todas las alarmas en Dallas. Las 156 sirenas de emergencias de toda la ciudad se activaron sembrando el pánico entre todos los vecinos. Dichas alarmas están situadas al aire libre y su principal finalidad es la de avisar principalmente de futuros tornados.

Las sospechas surgieron al no ser ningún organismo público municipal ni organización del gobierno quien decidiera conectarlas. Durante el tiempo del ataque, las autoridades recibieron más de 4.500 llamadas por lo que las redes sociales fueron otro de los canales de comunicación para calmar a la población.

Horas más tarde, tras la desactivación manual de todas las alarmas una por una, la Oficina de Gestión de Emergencias emitió un comunicado oficial en el que se confirmaba que el origen había sido mediante un ciberataque al sistema de alarmas de la ciudad por alguien dentro de la ciudad de Dallas, individuo independiente del sistema del sistema de emergencias.

 29 abril. Netflix y otras productoras, ¿hackeadas?

A falta de escasos dos meses para el estreno de la quinta temporada de la serie Orange is The New Black, un cibercriminal aseguraba tener la llave para estropear su estreno y es que The Dark Overlord, como él hacker o grupo de hackers se hace llamar, aseguraba haber robado la nueva temporada y solicitaba una cantidad no especificada de dinero a cambio de la no difusión en la red de todo el material.

 

MAYO

 

1 mayo. Amenazan a más productoras.

El Hacker o grupo de Hackers responsables de la amenaza Netflix, siguieron amenazando a más productoras. Esta vez, fruto de un ciberataque aseguraban el robo de 36 programas. Fox, YouTube y CBS fueron las principales afectadas.

Para evitar que la situación fuera a mayores, The Dark Overlord solicitó un pago a las productoras víctimas de las filtraciones. Más tarde saldría la noticia de que la casa de postproducción Larson Studios, la cual era la encargada de trabajar para dichas series y programas, había visto comprometida su seguridad hacía justo una semana.

5 mayo. Cibercriminales hackean HazteOir

La asociación activista sufría un ciberataque atribuido al grupo de ciberacriminales A.C.A.B. en el cual quedaban al descubierto más de 15.000 documentos correspondientes a finanzas, estrategias, conexiones y denuncias así como datos de la vida privada de su presidente.

6 de mayo. Ciberataque en las elecciones de Francia.

A principios de mayo y en plena campaña por la presidencia de Francia, el en su entonces candidato y hoy actual presidente de la república francesa Emmanuel Macron, recibía un ciberataque que ensombrecía el juego limpio en la campaña a la vez que recordaba lo sucedido en las elecciones presidenciales estadounidenses.

El ataque tuvo como resultado el acceso por parte de los criminales a todo tipo de documentos relacionados con la campaña.

Mike Rogers, presidente de la NSA, aseguró días más tarde haber avisado al equipo del candidato del ciberataque que al parecer no pudo ser inevitable.

 12 mayo. WannaCry: Gran Ciberataque Mundial

El 12 de mayo se producía uno de los mayores ciberataques del año bloqueando más 360.000 equipos repartidos en más de 180 países diferentes. WannaCry se valió de un error de seguridad tan simple como la falta de actualización de software, actualización que estaba vigente desde marzo, 2 meses antes del gran ciberataque.

Entre las principales víctimas se encontró el Sistema Sanitario Público de Reino Unido, la japonesa Hitachi, la francesa Renault, el Tribunal de Justicia de Brasil, la empresa de telefonía española Telefónica y la estadounidense FedEx.

Sin embargo, WannaCry no fue más que otro ataque de tipo ransomware el cual nos sirvió para aprender una serie de lecciones. Lecciones tales como la necesidad internacional de obtener una mejor coordinación y comprender que estos ataques cada vez más están enfocados a hacia las grandes empresas, principalmente por la cantidad de información de valor y su mayor capacidad de pago para hacer frente al rescate.

 

31 mayo. Acceso a la publicidad en Argentina 

A finales de mayo, el acceso ilícito a las pantallas de publicidad en el barrio argentino de Belgrano permitió a unos cibercriminales mostrar contenido pornográfico. El objetivo era llamar la atención para la posterior muestra de mensajes contra el presidente Mauricio Macri a favor de Perón.

Al no conocerse el origen y tampoco el método para frenar el ataque, la empresa responsable de la publicidad optó por cortar la electricidad como medida radical.

 

 

JUNIO

 

9 junio. Criminales atacan a Al-Jazeera y se extiende la crisis diplomática

Al-Jazeera tuvo que hacer frente a un intento de penetración en sus sistemas por parte de cibercriminales de origen ruso. Pese a los intentos, la red satelital permaneció plenamente operativa, a diferencia de la televisión estatal de Qatar que un mes antes ya tuvo que cerrar temporalmente su sitio web por razones de seguridad, anunciándolo por Twitter.

Uno de los motivos principales es la inestabilidad en la región y el enfrentamiento con otros países árabes de la radiodifusión de Qatar por supuestos vínculos con el terrorismo.

15 junio. Erebus: Ransomware para Linux

Entre las principales consecuencias de este ataque del tipo ransomware se encontraba el destape de los ficheros y las bases de datos de unas 3.400 empreses afectadas. Su funcionamiento era el mismo que el de cualquier ransomware pero con las especificación de estar en un servidor Linux. En los casos dados, el precio de rescate estaba enfocado especialmente a empresas, situándose en valores entre los 10 bitcoins en un principio y finalmente los 5 (25.000 y 12.500 dólares aproximadamente).

26 junio. Petya: Segundo Gran Ciberataque del año

Cuando WannaCry ya se creía superado volvía a ocurrir de nuevo que otro gran ransomware golpeaba a empresas a escala mundial. Este fue el segundo gran ciberataque del año y sucedió a finales de junio. Su nombre: Petya o NonPetya.

Pese a que ya en 2015 fue descubierto, esta nueva variable empleaba 3 vulnerabilidades (EternalBlue, wmic y pexec) que se extendían de forma lateral dentro de la red.

El método de Petya era obtener un listado de usuarios / passwords accesibles de manera local para obtener un listado de máquinas conectadas en la misma red para así actuar.

El principal error de los autores del malware fue registrar una dirección de correo en un proveedor habitual, el cual pudo ser cerrado con facilidad.

En resumen, entre sus principales víctimas se encontraban Moller-Maersk, la farmacéutica MSD o el Parlamento Británico.

 

 

JULIO

 

6 de julio. Robo de carteras en la plataforma Bithumb

A principios de julio se conocía que la seguridad de una de las cuatro principales casas de cambio de bitcoin con mayor importancia nivel mundial y principal de Corea del Sur, había estado comprometida. El ataque provocó que la información de aproximadamente 32.000 clientes hubiera sido filtrada y que sus carteras habían sido vaciadas de un día para el otro sin explicación, suponiendo unas pérdidas de cerca de 10 M won.

Al parecer, el ataque se produjo contra el ordenador personal de uno de los empleados por lo que nunca se tuvo acceso a los servidores centrales y afectando a la filtración de solo información personal de los usuarios. Seguidamente, según la investigación, los atacantes mediante phishing se hicieron pasar por Bithumb para el vaciado de dichas carteras.

 

AGOSTO

 

1 al 3 de agosto. El turno de HBO: Filtración, robo de información y capítulos de series

Si en abril se hablaba de Netflix, el turno de HBO llegaba en agosto y se relacionaba con su serie de mayor éxito: Juego de Tronos. Un grupo de cibercriminales había conseguido acceder a guiones y a dos capítulos de otras dos series de la productora (Ballers y Room 104), dentro de un total de 1,5 TB de información de la compañía.

El hacker, un iraní llamado Behzad Mesri, habría sido el autor quien habría publicado los dos capítulos que al parecer pudo llegar a obtener información de Juego de Tronos.

Días después, el asunto se volvió más serio al centralizarse más filtraciones en una misma web con contenido tales como resúmenes de capítulos de la nueva temporada de Juego de Tronos, de otras series de HBO (como Ballers, Barry, Insecure y Room 104), un archivo en el que constaban las contraseñas de Viviane Eisenberg (VP Asuntos legales HBO) y 99 GB de archivos varios.

4 agosto. La cantante Ariana Grande sufre acceso a sus redes sociales

Los personajes mediáticos son frecuentemente el foco de compromisos en sus redes sociales dada la influencia pública y social que representan.

A principios de agosto fue el turno de Ariana Grande, a la que pudieron acceder a su cuenta de Instagram y publicar mensajes violentos junto con fotografías extrañas y enlaces a webs de contenido pornográfico. Las denuncias de miles de seguidores de la artista valieron para alertar a Instagram de la actividad sospechosa y recuperar el control de la cuenta por parte de la cantante.

16 agosto. Blizzard, hackeada por criminales

A mediados de agosto conocíamos que Blizzard, una de las más conocidas desarrolladoras de videojuegos de todo el mundo, había sido víctima de una serie de ataques DDos que afectaron al desarrollo habitual provocando problemas de conexión y latencia así como caídas de las páginas web dedicadas al reporte de fallos. Con este ataque, se daba un golpe con un objetivo muy diferente al habitual en una industria poderosa que mueve muchos millones e intereses alrededor del mundo: el sector de los videojuegos.

17 agosto. De nuevo HBO

A mediados de agosto ocurría un nuevo incidente relacionado con la seguridad de HBO, en este caso con su cuenta oficial de Twitter. La acción fue fruto del grupo de hackers conocido como OurMine el cual tras acceder a la cuenta hizo un tweet en el que se podía leer: «Hola, OurMine está aquí, solo estamos probando su seguridad, equipo de HBO, por favor póngase en contacto con nosotros para mejorar su seguridad».

El tweet no solo tenía el objetivo de ser demostrativo, si no que en un intento de resarcirse publicaron otro tweet en el que buscaba hacerse viral.

Por otro lado, otras cuentas oficiales de algunos productos que ofrece HBO fueron víctima del ataque informático, entre ellas: Vinyl, True Blood, Veep y Juego de Tronos.

 

SEPTIEMBRE

 

6 septiembre. Taringa sufre una importante filtración

A principios de septiembre LeakBase informaba sobre una filtración de datos que Taringa habría sufrido y que habría dejado al descubierto cerca de 29M de cuentas, las cuales incluían nombres de usuario, direcciones de e-mail y contraseñas cifradas. Éstas últimas, al estar cifradas deberían de ser más seguras, pero no fue el caso ya que el método de cifrado, mediante el algoritmo MD5, era un método ya obsoleto y poco seguro desde hace ya años.

En su momento, la red social envió contraseñas de reinicio a través de email para forzar la actualización de sus usuarios y mejoró el cifrado, siendo SHA256, más fuerte y seguro.

8 septiembre. Equifax recibe ciberataque masivo

También a principios de septiembre daba a la luz uno de los ciberataques más sonados del 2017: El ciberataque masivo sufrido por Equifax.

Considerado por algunos medios como uno de los más grandes de la historia, la compañía, que es una de las mayores agencias de información de crédito de Estados Unidos, habría dejado expuestos los datos de 143M de clientes, cifra que viene a ser a proporción casi la mitad de habitantes del país.

Entre los datos, el grupo de criminales habría accedido aproximadamente a la información más sensible de los clientes, entre la que se encontraba: nombre, fecha de nacimiento, domicilio, número de carnet de conducir y el número de la tarjeta de crédito de unos 210.000 clientes aproximadamente.

Además, una de los primeras consecuencias es como siempre la menos controlable de todas, la reputación, que se vio reflejada con una caída en el valor de sus acciones en bolsa de cerca del 8%.

25 de septiembre. Deloitte Deloitte sufre un ciberataque

A finales de septiembre se conocía la noticia de que la auditora Deloitte había sido víctima de un sofisticado ciberataque que puso al descubierto los correos electrónicos confidenciales de algunos de sus clientes más importantes. Entre los datos principales se incluían nombres de usuario, contraseñas, direcciones IP, presentaciones e información de carácter personal.

El ataque se produjo a través del servicio de correo electrónico, al que los criminales accedieron con una cuenta de administrador.

 

OCTUBRE

 

25 octubre. Bad Rabbit: ransomware de nuevo.

A finales de octubre, una nueva campaña de ransomware afectaba de nuevo a países del Este de Europa con lo que parecía ser una variante del ransomware Petya. Su nombre, Bad Rabbit, afectó aproximadamente a unas 200 empresas entre las que se incluyen algunas procedentes de Alemania, Turquía y Japón.

Bad Rabbit intentaba hacerse con las credenciales de la memoria del sistema e intentaba difundirse dentro la red corporativa.

Al bloquear a sus víctimas, Bad Rabbit exigía el pago de 0,05 bitcoins, el equivalente aproximado a 285 dólares en ese período.

 

NOVIEMBRE

 

7 noviembre. Ciudadanos de Euskadi obligados a dar de baja sus tarjetas por “Roca”

En el mes de noviembre daba a la luz una noticia dentro de nuestras fronteras cuando un grupo de universitarios de Eslovaquia obligó a la inhabilitación de las tarjetas electrónicas de 34.081 usuarios en Euskadi tras descubrir “Roca”, un algoritmo capaz de extraer la información privada del chip que incorporaban el 15% de tarjetas digitales de Euskadi.

8 noviembre. La Policía Nacional desactiva los DNI por seguridad

Al día siguiente, da a luz una noticia de un mayor calibre al ser ahora la Policía quien se ve obligada a desactivar la firma digital de todos los DNI expedidos desde el año 2015 por el posible fallo de seguridad en su chip. El fallo, se debería a los dos códigos que contiene: uno público y otro privado. La vulnerabilidad “Roca” consiste en que mediante el proceso conocido como factorización de la información pública del chip se conseguiría descifrar la información privada, por lo que la suplantación de identidad del individuo sería posible sin ningún problema.

 

DICIEMBRE

 

1 diciembre. NSA, tercera nueva filtración

A principios de diciembre, la NSA sufría una filtración de 100 GB de datos a causa de un posible grave descuido al disponer de un servidor abierto sin contraseña, siendo posible el acceso solo con disponer de la dirección.

El resultado de este filtrado incluía dañinas herramientas de hacking con una clasificación NOFORN (No Foreign Nationals). Esta nomenclatura hace referencia a que es un tipo de información de carácter tan sensible que Estados Unidos no la comparte con terceros países. En total, 47 archivos visibles, descargables tres de ellos, con datos de la seguridad nacional.

6 diciembre. Filtrada la información de más de 31 M de usuarios

El teclado virtual Ai.type, que permite la descarga tanto en Android como iOS bajo un modelo freemium, fue víctima de una filtración de datos después de que su servidor de bases de datos MongoDB no estuviera adecuadamente protegido siendo accesible a cualquiera que supiese su localización.

En total, las bases de datos ocupaban 577 GB en los que se encontraba información tan personal como la localización del usuario, números de teléfono, proveedores de servicios telefónicos y direcciones de IP e ISP de banda ancha de WiFi en el que el usuario había estado conectado. Además, se incluía la información de 10,7 M de direcciones de email, 374,6 M de números de teléfono y datos de las aplicaciones instaladas en el smartphone, incluyendo también algunas tan sensibles como apps bancarias.

12 diciembre. Se descubre la BBDD más grande con más de 1400 M de emails y contraseñas

A mediados de diciembre se descubría en la Deep Web la que está considerada como la base de datos agregada más grande hallada hasta el momento. En ella, se incluyen los datos de filtraciones de empresas y sitios web tan importantes como ahora Bitcoin, MySpace, Netflix, Last.FM, Badoo y RedBox, entre otras.

Todos estos 1.400 M de nombres de usuario, correos electrónicos y demás combinaciones de contraseñas, que se muestran sin ningún tipo codificación, forman un total de 41 GB de tamaño.

Sin embargo, el autor es aún desconocido pese a que acepta carteras de Bitcoin y Dogecoin para realizar donaciones.

20 diciembre. El Bitcoin se desploma un 15%

El 20 de diciembre amanecía con un desplome del precio del Bitcoin de hasta el 15% en los mercados asiáticos debido al ciberataque que sufrió el mercado surcoreano de criptomonedas Youbit.

El robo sufrido supuso la pérdida de aproximadamente el 17% de sus divisas digitales en cartera. A pesar de ello, se declaró su bancarrota tras permitir a todos sus clientes que pudieran retirar hasta el 75% de todos sus saldos.